我尝试通过以下方式为Saltstack master和minion启用sslhttps://docs.saltstack.com/en/latest/ref/configuration/master.html#ssl但我不确定如何验证它是否使用SSL .
我在主配置中添加了这个:
ssl:
keyfile: /etc/salt/ssl/master/key.pem
certfile: /etc/salt/ssl/master/cert.pem
ssl_version: PROTOCOL_TLSv1_2
我在minion中添加了类似的设置。但是,当我使用 openssl 测试端口时:
openssl s_client -connect <master ip>:4505 -debugSSL routines:SSL23_GET_SERVER_HELLO:unknown protocol您还需要添加
transport: tcp
那么您至少会在
/var/log/salt/master/var/log/salt/minion您可以使用
tcpdump这篇文章出现在我有关让 SaltStack 使用 SSL 的搜索中 - 自最初的答案以来,事情已经发生了一些变化。
我们的特殊需求需要服务器和客户端证书,最终结果如下:
在主机上您需要如下设置
ssl
keyfile: <path to master key file>
certfile: <path to master certificate>
ca_certs: <path to minion CAs>
cert_reqs: CERT_REQUIRED
ssl_version: PROTOCOL_TLS_SERVER
然后是小黄人
ssl
keyfile: <path to minion key file>
certfile: <path to minion certificate>
ca_certs: <path to master CAs>
cert_reqs: CERT_REQUIRED
ssl_version: PROTOCOL_TLS_CLIENT
transport = tlssalt在我们的测试中,我们还发现minion用来联系master的IP地址需要在master的证书Subject Alternative Name中,否则minion将无法验证master的证书。